7月13日,第四届北京网络安全大会(以下简称“BCS2022”)开幕。北京网络安全大会主席、奇安信集团董事长齐向东在BCS 2022战略峰会上演讲时表示,冬奥“零事故”应该成为行业新目标,向千行百业推广。
齐向东总结到,网络安全“零事故”具体有三条标准:
第一条标准,业务不中断。数字时代,业务变得越来越开放互联,一旦中断,就可能是重大网络安全事故。黑客只要找到业务系统的一个弱点,可能就会打击一片。轻则营业收入、口碑受损;重则触犯法律,直接威胁社会生产生活和国家安全。今年以来,国际货运巨头、轮胎制造巨头、汽车租赁巨头相继遭受网络攻击,导致业务大范围停滞,带来严重的负面影响。
网络安全“零事故”要求,企业和机构有保障业务正常运转的能力。
第二条标准,数据不出事。数据作为核心生产要素,穿行在各个生产环节中,把社会紧密联系在一起,为经济发展提供源源不断的数字燃料。
如果拧不紧数据“安全阀”,将造成难以承受的后果。IBM发布的《2021年数据泄露成本报告》指出,2021年每起数据泄露事件带来的平均损失高达424万美元,同比增加10%,达到了七年来的最大增幅。
数据安全已经进入了强监管的新阶段,确保数据不出事,是实现“零事故”的重要指标。中国高度重视数据安全,先后发布了《数据安全法》、《个人信息保护法》《数据出境安全评估办法(征求意见稿)》《网络数据安全管理条例》(征求意见稿);今年6月,又发布了《关于开展数据安全管理认证工作的公告》,进一步将数据安全从法律法规层面,推向了监管落地层面。确保数据安全“零事故”已经迫在眉睫。
第三条标准,合规不踩线。没有规矩,不成方圆。一直以来,很多企业都对合规存在误解,认为合规是网络安全工作的目标。事实上,合规是网络安全的基本要求和底线。企业不遵守安全规范,就像没有打牢地基,注定无法长久。
安全有道,合规先行,合规是各类数字化业务安全开展的前提。近年来,《网络安全法》、《网络安全等级保护条例》、《关键信息基础设施安全保护条例》相继颁布实施,为我国企业提升网络安全防护能力提供了基本遵循。过去,企业只要按照要求部署产品,就是做到了合规。这就导致很多企业仅仅把合规当成“应试”和“交差”,觉得只要通过检查和测试就万事大吉了,没有把后续的实际效果考虑在内。
随着网络安全建设要求不断深化,合规标准不断升级,企业将面临更强监管。
合规已经进入用结果来评判的新阶段,这跟“零事故”不谋而合。企业要确保合规不踩线,必须用更严格的标准要求自己。除了部署先进的产品,还要不断发现新问题、解决新问题,提高各个系统平台的安全防护能力,这样才有可能真正实现网络安全“零事故”。
